Connector für Auth0 Access Management (mittels Azure Functions) für Microsoft Sentinel
Der Datenconnector Auth0 Access Management bietet die Möglichkeit, Auth0-Protokollereignisse in Microsoft Sentinel zu erfassen.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Anwendungseinstellungen | DOMAIN CLIENT_ID CLIENT_SECRET WorkspaceID WorkspaceKey logAnalyticsUri (optional) |
Azure-Funktions-App-Code | https://aka.ms/sentinel-Auth0AccessManagement-azuredeploy |
Log Analytics-Tabellen | Auth0AM_CL |
Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Alle Protokolle
Auth0AM_CL
| sort by TimeGenerated desc
Voraussetzungen
Stellen Sie für die Integration in Auth0 Access Management (mittels Azure Functions) sicher, dass Sie über Folgendes verfügen:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- REST-API-Anmeldeinformationen/-Berechtigungen: API-Token ist erforderlich. Weitere Informationen zum API-Token finden Sie in der Dokumentation.
Installationsanweisungen des Anbieters
Hinweis
Dieser Connector verbindet sich über Azure Functions mit den Auth0 Management-APIs, um deren Protokolle in Microsoft Sentinel abzurufen. Dies könnte zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
SCHRITT 1: Konfigurationsschritte für die Auth0 Management-API
Befolgen Sie die Anweisungen zum Abrufen der Anmeldeinformationen.
- Navigieren Sie im Auth0-Dashboard zu Anwendungen >Anwendungen.
- Wählen Sie Ihre Anwendung aus. Hierbei sollte es sich um eine „Machine-to-Machine“-Anwendung handeln, die mindestens mit den Berechtigungen read:logs und read:logs_users konfiguriert ist.
- Kopieren Sie Domain, ClientID, Client Secret.
SCHRITT 2 – Wählen Sie EINE der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen
WICHTIG: Vor der Bereitstellung des Auth0 Access Management-Datenconnectors müssen Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel haben (können aus dem Folgenden kopiert werden).
Option 1 – Azure Resource Manager (ARM)-Vorlage
Verwenden Sie diese Methode für die automatisierte Bereitstellung des Auth0 Access Management-Datenconnectors mithilfe einer ARM-Vorlage.
Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.
Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.
HINWEIS: Innerhalb derselben Ressourcengruppe können Sie keine Windows- und Linux-Apps in der gleichen Region mischen. Wählen Sie eine vorhandene Ressourcengruppe ohne enthaltene Windows-Apps aus, oder erstellen Sie eine neue Ressourcengruppe. 3. Geben Sie Domain, ClientID, Client Secret, AzureSentinelWorkspaceId, AzureSentinelSharedKey ein. 4. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen.
Option 2 – Manuelle Bereitstellung von Azure Functions
Verwenden Sie die folgenden Schrittanweisungen, um den Datenconnector für Auth0 Access Management manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).
1. Bereitstellen einer Funktions-App
HINWEIS: Für die Azure-Funktionsentwicklung müssen Sie VS Code vorbereiten.
Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.
Starten Sie Visual Studio Code. Wählen Sie im Hauptmenü „Datei“ und dann „Ordner öffnen“ aus.
Wählen Sie den Ordner der obersten Ebene aus den extrahierten Dateien aus.
Wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, gehen Sie zum nächsten Schritt.
Geben Sie nach entsprechender Aufforderung Folgendes ein:
a. Ordner auswählen: Wählen Sie einen Ordner in Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, in dem Ihre Funktions-App gespeichert ist.
b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.
c. Wählen Sie Neue Funktions-App in Azure erstellen aus (wählen Sie nicht die Option „Erweitert“ aus).
d. Global eindeutigen Namen für die Funktions-App eingeben: Geben Sie einen Namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. Auth0AMXXXXX)
e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.11.
f. Wählen Sie einen Standort für neue Ressourcen aus. Wählen Sie zur Leistungsverbesserung und Kostensenkung dieselbe Region aus, in der sich Microsoft Sentinel befindet.
Die Bereitstellung beginnt. Nach der Erstellung der Funktions-App wird eine Benachrichtigung angezeigt, und das Bereitstellungspaket wird angewendet.
Wechseln Sie zum Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Konfigurieren der Funktions-App
- Wählen Sie im Bereich „Funktions-App“ den Namen der Funktions-App und dann Konfiguration aus.
- Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option **Neue Anwendungseinstellung** aus.
- Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): DOMAIN CLIENT_ID CLIENT_SECRET WorkspaceID WorkspaceKey logAnalyticsUri (optional).
- Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie beispielsweise den Wert für die öffentliche Cloud leer. Geben Sie für die Azure-Cloudumgebung „GovUS“ den Wert im folgenden Format an:
https://<CustomerId>.ods.opinsights.azure.us
. 4. Nachdem Sie alle Anwendungseinstellungen eingegeben haben, klicken Sie auf Speichern.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.